Przestępcom udało się złamać zabezpieczenia hipernadzorców ESXi VMware i uzyskać dostęp do niezliczonych maszyn wirtualnych, co oznacza, że mogą szpiegować wiele firm za pomocą sprzętu bez wiedzy tych firm, że są szpiegowane.
Ostrzeżenie zostało wydane przez firmę Mandiant zajmującą się wywiadem cybernetycznym we współpracy z firmą wirtualizacyjną VMware.
Według obu firm nieznani hakerzy, prawdopodobnie powiązani z Chinami, zainstalowali dwa szkodliwe programy na hiperwizorach typu bare metal, korzystając z pakietów instalacyjnych vSphere. Nazwali je VirtualPita i VirtualPie („Pita” w niektórych językach słowiańskich oznacza także „ciasto”). Ponadto odkryli unikalne złośliwe oprogramowanie/dropper o nazwie VirtualGate.
bez podatności
Co ważne, osoby atakujące nie znalazły luki zero-day ani nie wykorzystały żadnych innych znanych luk. Zamiast tego użyli dostępu na poziomie administratora do hipernadzorców ESXi, aby zainstalować swoje narzędzia.
W rozmowie z WIRED firma VMware stwierdziła, że „chociaż nie ma tu żadnych luk w zabezpieczeniach VMware, podkreślamy potrzebę stosowania skutecznych praktyk w zakresie bezpieczeństwa operacyjnego, które obejmują bezpieczne zarządzanie danymi uwierzytelniającymi i bezpieczeństwo sieci”.
VMware poinformowało również, że przygotowało przewodnik „zaostrzający” dla administratorów konfiguracji VMware, który powinien pomóc im chronić się przed tego typu atakami.
Aktor zagrożenia jest śledzony jako UNC3886. Badacze twierdzą, że chociaż wykazuje oznaki przynależności do grupy z siedzibą w Chinach (ofiary są takie same, jak w przypadku niektórych innych chińskich grup; istnieją pewne podobieństwa w złośliwym kodzie (otwiera się w nowej karcie) i innym znanym złośliwym oprogramowaniu). , nie może potwierdzić z absolutną pewnością, że tak jest.
Atak umożliwia cyberprzestępcom zachowanie stałego dostępu administratora do hiperwizora, wysyłanie poleceń do punktu końcowego (otwiera się w nowej karcie), które zostaną przekierowane do maszyny wirtualnej gościa w celu wykonania, kradzież plików między hiperwizorem ESXi a uruchomionymi pod nim maszynami gości, wprowadzać zmiany w usługach rejestru w hipernadzorcy i wykonywać dowolne polecenia z jednej maszyny wirtualnej gościa na inną maszynę wirtualną gościa, o ile znajdują się one na tym samym hipernadzorcy.
Przez: przewodowy (otwiera się w nowej karcie)